ช่วยตรวจสอบการตั้งค่า Options ต่างๆ และกลไกด้านความมั่นคงปลอดภัย แต่ไม่รวมถึงช่องโหว่บนเว็บแอพพลิเคชัน
Mozilla เปิดให้บริการ Online Scanner ชื่อว่า Observatory สำหรับตรวจสอบว่า เว็บไซตืของคุณมีกลไกลและการตั้งค่าด้านความมั่นคงปลอดภัยเหมาะสมหรือไม่ เจ้าของเว็บไซต์สามารถใช้บริการได้ฟรี เพียงแค่กรอกชื่อโดเมนแล้วสั่งสแกนเท่านั้น
เริ่มต้นจากการใช้งานภายในทีมความมั่นคงปลอดภัย
Observatory ถูกพัฒนาโดย April King วิศวกรด้านความมั่นคงปลอดภัยของ Mozilla โดยเริ่มแรก King พัฒนาเครื่องมือดังกล่าวขึ้นมาสำหรับใช้งานภายในบริษัทเท่านั้น แต่หลังจากนั้น ทาง Mozilla ก็ได้ผลักดันให้ King พัฒนาต่อจนสามารถนำมาเผยแพร่ให้ใช้งานโดยทั่วไปได้
ได้รับแรงบันดาลใจจาก SSL Server Test ของ Qualys
King ระบุว่า เธอได้แรงบันดาลใจในการพัฒนา Observatory มาจาก SSL Server Test ของ Qualys SSL Labs ซึ่งเป็นเครื่องมือสำหรับให้คะแนนการตั้งค่า SSL/TLS พร้อมตรวจสอบข้อบกพร่องของเว็บแอพพลิเคชัน เช่นเดียวกันกับบริการของ Qualys บริการ Observatory เองก็ใช้ระบบการใช้คะแนนจาก 0 – 100 แล้วแปลงคะแนนออกมาเป็นเกรด F ถึง A+
เพิ่มการตรวจสอบกลไกด้านความมั่นคงปลอดภัยของเว็บไซต์
Observatory ต่างจาก SSL Server Test ตรงที่มีการเพิ่มการตรวจสอบกลไกด้านความมั่นคงปลอดภัยของเว็บเข้าไปด้วย ได้แก่ Cookie Security Flags, Cross-Origin Resource Sharing (CORS), Content Security Policy (CSP), HTTP Public Key Pinning, HTTP Strict Transport Security (HSTS), Redirections, Subresource Integrity, X-Frame-Options, X-Content-Type-Options, X-XSS-Protection และอื่นๆ แทนที่จะตรวจสอบเฉพาะ TLS Implementation เพียงอย่างเดียว
ที่สำคัญคือ Observatory ไม่ได้ตรวจสอบเพียงแค่เว็บไซต์ที่สแกนมีการใช้เทคโนโลยีด้านความมั่นคงปลอดภัย แต่ตรวจสอบถึงระดับที่ว่า เว็บไซต์ดังกล่าวมีการตั้งค่าได้อย่างถูกต้องเหมาะสมหรือไม่ อย่างไรก็ตาม Observatory ไม่ได้สแกนค้นหาช่องโหว่บนโค้ดของเว็บไซต์แต่อย่างใด เนื่องจากเครื่องมือสำหรับตรวจสอบช่องโหว่มีให้เลือกใช้มากมาย ทั้งแบบฟรีและไม่ฟรี
เน้นเข้าใจง่ายและพร้อมให้รายละเอียดเพิ่มเติม
King ระบุว่า เทคโนโลยีด้านความมั่นคงปลอดภัยบนเว็บไซต์มีให้เลือกใช้และตั้งค่ามากมาย แต่เป็นเรื่องยากที่เจ้าของเว็บไซต์จะเรียนรู้วิธีการใช้เทคโนโลยีทั้งหมดได้อย่างแตกฉาน ผลลัพธ์ที่ได้จากการสแกนโดย Observatory นั้นเข้าใจได้ง่าย และมีการเชื่อมโยงกลับไปยัง Web Security Guideline ของ Mozilla ในกรณีที่ต้องการศึกษาหาข้อมูลเพิ่มเติม
จากการสแกนเว็บไซต์กว่า 1,300,000 เว็บ พบว่ามีเพียง 121,984 เว็บไซต์ที่เท่าที่ผ่านการทดสอบ
ผู้ที่สนใจสามารถใช้บริการ Observatory เพื่อสแกนเว็บไซต์ตัวเองได้ที่ https://observatory.mozilla.org/
ผู้ดูแลระบบที่ต้องการระบบสแกนแบบออฟไลน์ หรือต้องการสแกนเว็บไซต์เป็นจำนวนมาก สามารถเรียกใช้ API และ Command-line Tools ได้ผ่านทาง GitHub